FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
☐ ☆ ✇ IT-Connect

Keynote Apple : Les MacBook Pro avec les puces M1 Pro et M1 Max sont là !

Par : THEVET Olivier

À l'occasion d'une Keynote qui s'est déroulée hier soir, Apple a dévoilé ses nouveaux MacBook Pro ! Et oui, ils sont enfin là ! Apple a également présenté d'autres nouveautés !

Les nouveaux MacBook Pro

On les attendait, ils sont enfin là ! Les nouveaux MacBook Pro font leur apparition.  Nous avons hâte de voir les premiers retours des utilisateurs !

Pour cette nouvelle génération, il existera deux formats : 14 pouces et 16 pouces. Les plus grosses configurations seront évidemment réservées à la version 16 pouces. Néanmoins, il faudra choisir votre puce, avec des nombres de coeurs différents, ainsi qu'un nombre de coeurs différents pour le GPU. Le géant de Cupertino a décidé d'équiper ses nouveaux fleurons de deux nouvelles puces créées par Apple : la puce M1 Pro et la puce M1 Max. Pour faire simple, ce que fait la M1 Pro, la M1 Max le multiplie quasiment par deux.

Au niveau du design, la Touch Bar disparait. Après 5 ans, Apple décide de retirer cette barre et de la remplacer par des touches physiques. Ce n'est pas étonnant puisque la Touch Bar n'ait jamais parvenue à se faire apprécier par les utilisateurs. L'écran quant à lui sera équipé d'une encoche pour intégrer la caméra (dans le même esprit que sur iPhone) : les rumeurs en parlaient, la Keynote d'Apple a été la confirmation officielle !

Côté connectique, ils seront équipés sur le côté droit : d'un port HDMI, d'un lecteur de cartes et d'un port Thunderbolt 4. Sur le côté gauche, vous aurez un port jack (qui fait de la résistance), deux ports Thunderbolt 4 et un port de charge MagSafe 3.

Au niveau de la configuration matérielle, vous pouvez équiper le MacBook Pro M1 Pro de 16 Go à 32 Go de RAM et de 32 Go à 64 Go pour le MacBook Pro M1 Max. Pour le stockage, le stockage SSD commence à 512 Go et il peut atteindre 8 To sur le modèle plus haut de gamme.

Le prix de départ pour le MacBook Pro M1 Pro est de 2749 euros  tandis qu'il est de 3849 euros pour le MacBook Pro M1 Max. Le prix peut monter jusqu'à 6800 euros si l'on prend la configuration la plus puissante..

AirPods 3, le Spatial Audio

On en parlait également, une nouvelle version des AirPods fait son apparition. Les écouteurs sans-fil prennent le design des AirPods Pro. Il n'y a pas de réel changement par rapport à l'ancienne version sauf une fonctionnalité prise sur les modèles Pro et les Air Max. Le Spatial Audio, qui permet de créer un son de qualité surround, arrive sur les AirPods 3 ! L'autonomie serait augmentée selon Apple, passant de 6 heures en utilisation et de 30 heures avec le boitier.

Ils seront disponibles au prix de 199 euros .

HomePod Mini : place à la couleur !

Apple a également annoncé que ces HomePod Mini seront maintenant déclinés en plusieurs coloris. Vous pourrez désormais, en plus du noir et blanc, choisir les couleurs bleu, orange et jaune. C'est le seul changement annoncé par la société de Cupertino au sujet de l'HomePod Mini.

Apple Music, réduction du prix

La marque à la Pomme a annoncé un nouvel abonnement pour son service de streaming musical. Le prix de cet abonnement va plaire aux utilisateurs puisqu'il est divisé par deux ! Le prix sera de 4,99 euros par mois.

Bien sûr, cela n'est pas sans conséquence sur les fonctionnalités. En effet, cet abonnement intègre des fonctions limitées, et il n'y aura pas : les paroles en direct, les clips vidéos, l'audio spatial, ni le lossless.

La chiffonnette by Apple

Et la star de la soirée c'est... La chiffonnette pour nettoyer vos écrans Apple. Inutile donc indispensable ! :p - Elle sera vendue 25 euros l'unité !

C'est tout pour les nouveautés annoncées par Apple ce 18 octobre 2021. Qu'en pensez-vous ? Allez-vous craquer ? Moi personnellement, j'attends encore un peu avant de me prendre un MacBook, étant récemment passé sur un iPhone 13 Mini.

Source

The post Keynote Apple : Les MacBook Pro avec les puces M1 Pro et M1 Max sont là ! first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Windows 11 : comment supprimer le dossier Windows.old ?

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons voir comment supprimer le dossier Windows.old sur Windows 11, suite à une mise à niveau de Windows 10 vers Windows 11.

Le passage d'une version de Windows à une autre entraîne la création d'un dossier "Windows.old" à la racine du lecteur où est installé Windows, en général "C:".

Si vous rencontrez des difficultés sur Windows 11 et que vous souhaitez retourner sur Windows 10, ce dossier permet au système de faire machine arrière. Au bout de quelques jours, si tout semble stable sur votre machine, vous pouvez vous en débarrasser pour libérer de l'espace disque (cette décision vous appartient). Sur ma machine, après la mise à niveau le dossier faisait 31 Go, ce qui n'est pas négligeable.

Dossier Windows.old sur Windows 11
Dossier Windows.old sur Windows 11

Nous allons voir comment supprimer proprement le dossier "Windows.old", sans supprimer le dossier soi-même avec l'Explorateur de fichiers.

II. Supprimer Windows.old de Windows 11

Commencez par ouvrir l'Explorateur de fichiers, puis sélectionnez le lecteur "C" où est installé Windows. Effectuez un clic droit dessus et cliquez sur "Propriétés".

Au sein de l'onglet "Général", cliquez sur le bouton "Nettoyage de disque". Une autre fenêtre va apparaître.

Dans la nouvelle fenêtre qui s'affiche, cliquez sur le bouton "Nettoyer les fichiers système".

Patientez quelques minutes... Le temps de l'analyse :

Lorsque ce sera terminé, la fenêtre "Nettoyage de disque" va revenir à l'écran. Elle aura des options supplémentaires, comme "Précédente(s) installation(s) de Windows" que vous devez cocher. Vous pouvez aussi cocher d'autres éléments, c'est l'occasion de faire un nettoyage complet. 😉 - Cliquez sur "OK" pour valider.

Suppression du dossier Windows.old sur Windows 11
Suppression du dossier Windows.old sur Windows 11

Un message de confirmation va s'afficher pour vous prévenir qu'en supprimant ces fichiers (c'est-à-dire le dossier Windows.old), il ne sera plus possible de revenir sur Windows 10. Cliquez sur "Oui" si vous êtes sûr de vous.

Il ne reste plus qu'à patienter pendant le nettoyage opéré par Windows 11. Vous voilà débarrassé du dossier "Windows.old" et votre disque va pouvoir respirer un peu (en tout cas, le mien il a apprécié).

The post Windows 11 : comment supprimer le dossier Windows.old ? first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Virtualiser Windows 11 sur macOS, c’est possible avec Parallels Desktop

Par : Florian Burnel

Le logiciel Parallels Desktop a reçu une nouvelle mise à jour qui lui permet de virtualiser Windows 11 sur macOS Monterey et un Mac équipé avec une puce Apple M1.

Le logiciel Parallels Desktop est plus que jamais indispensable pour les utilisateurs de macOS qui souhaitent utiliser Windows sur macOS par l'intermédiaire de la virtualisation. En effet, suite au passage des processeurs Intel aux puces Apple M1, le système macOS ne propose plus l'option "Bootcamp" qui permettait d'installer Windows en dual boot sur son Mac. La raison : il n'y a pas d'ISO de Windows en téléchargement pour les architectures ARM64.

Avec Parallels Desktop 17.1, vous pouvez virtualiser Windows 11 sur n'importe quel Mac équipé d'une puce Apple M1 et de la dernière version de macOS, à savoir macOS Monterey qui succédera à Big Sur à partir du 25 octobre prochain.

Vous n'êtes pas sans savoir que Windows 11 impose des prérequis bien particuliers, notamment la présence d'une puce TPM 2.0. Du coup, les développeurs de Parallels Desktop ont ajouté un TPM virtuel (vTPM) à leur logiciel afin de répondre aux exigences de Microsoft et permettre l'installation de Windows 11.

Cette nouvelle devrait ravir les utilisateurs de macOS qui souhaitent tester Windows 11, mais aussi les professionnels qui en ont besoin pour des usages spécifiques ou exécuter certaines applications via Windows.

Source

The post Virtualiser Windows 11 sur macOS, c’est possible avec Parallels Desktop first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Microsoft corrige deux failles de sécurité dans PowerShell 7

Par : Florian Burnel

Microsoft a mis à jour PowerShell 7 dans le but de corriger deux failles de sécurité, l'une permet d'exécuter du code arbitraire sur la machine en outrepassant la fonctionnalité de sécurité Windows Defender Application Control (WDAC), tandis que l'autre permet de récupérer des identifiants en clair sur les machines non-Windows.

Actuellement, il y a deux branches maintenues par Microsoft au niveau de PowerShell 7 (anciennement appelé PowerShell Core) : 7.0 et 7.1. Microsoft a publié deux nouvelles versions pour corriger ces vulnérabilités, à savoir PowerShell 7.0.8 et PowerShell 7.1.5. Pour rappel, ces versions de PowerShell sont multiplateformes : Windows, Linux et macOS.

La fonctionnalité WDAC, en français Contrôle d'application Windows Defender, permet de protéger la machine locale contre l'exécution de logiciels malveillants, mais aussi de pilotes malveillants. L'idée étant d'autoriser seulement les exécutables de confiance. Lorsqu'elle est active, PowerShell est exécuté en mode restreint (Constrained Language Mode), ce qui agit comme une bride afin de réduire le champ d'action de la console PowerShell.

En exploitant la vulnérabilité  CVE-2020-0951 pas récente vu le nom de la référence), il devient possible de contourner cette restriction appliquée par WDAC et d'exécuter des commandes malveillantes sur la machine. Toutefois, Microsoft précise qu'il faut disposer d'un accès local en tant qu'administrateur pour exploiter cette faille, ce qui complexifie l'attaque.

La seconde faille référencée CVE-2021-41355, touche directement .NET Core et elle permet à l'attaquant d'obtenir des identifiants en clair. C'est à cause de la fonction System.DirectoryServices.Protocols.LdapConnection qui envoie des identifiants en clair, seulement lorsqu'elle s'exécute sur des machines non-Windows.

En résumé, sachez que la CVE-2020-0951 affecte aussi bien PowerShell 7 que PowerShell 7.1, alors que la CVE-2021-41355 impacte seulement PowerShell 7.1.

Utilisez la commande ci-dessous dans une console PowerShell pour connaître votre version actuelle :

pwsh -v

Source

The post Microsoft corrige deux failles de sécurité dans PowerShell 7 first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Les différentes éditions de Windows Server 2022

Par : Florian Burnel

Windows Server 2022 est disponible depuis plusieurs semaines. Dans cet article, nous allons nous intéresser aux différentes éditions de Windows Server 2022 car il y a du changement.

Chaque sortie de Windows Server s'accompagne de son lot de changements et nouveautés. Au-delà des nouveautés fonctionnelles de Windows Server 2022, il y a aussi des changements sur les éditions proposées.

Voici la liste des éditions de Windows Server 2022, avec les spécificités de chacune :

Windows Server 2022 Standard

L'édition Standard elle celle que l'on connaît depuis toujours et elle le reste, il n'y a pas de changement notable.

Windows Server 2022 Essentials

L'édition Essentials évolue avec Windows Server 2022 puisqu'elle est limitée à 25 utilisateurs, 50 appareils et 1 seul CPU physique avec 10 cœurs au maximum. Par contre, Essentials ne sera plus une édition à part avec des fonctions spéciales (tableau de bord, access anywhere, plus de rôle "Windows Server Essentials Experience" etc.). Il s'agit désormais d'une version Standard mais bridée.

Windows Server 2022 Datacenter

L'édition Datacenter est une version Standard avec des fonctionnalités spécifiques en supplément, comme Software-defined Networking, Storage Replica et Storage Spaces Direct.

Windows Server 2022 Datacenter: Azure Edition

L'édition "Datacenter: Azure Edition" intègre des fonctionnalités inédites et elle tourne seulement dans le Cloud Azure. Elle bénéficie de la fonctionnalité "hotpatching in Core" qui permet d'appliquer des mises à jour correctives à chaud, c'est-à-dire qu'il n'est plus nécessaire de redémarrer après l'installation des mises à jour ! C'est un détail mais cela a son importance car un redémarrage peut être synonyme de coupure de la production, etc.... Et aussi d'une remise à zéro de l'uptime. Ahah.

Par ailleurs, la fonctionnalité "SMB over QUIC" est une exclusivité de cette édition, et elle permet d'accéder à des fichiers stockés sur un serveur de fichiers Windows Server 2022 de façon sécurisée, à partir d'Internet, grâce à des connexions basées sur TLS 1.3 (une version active par défaut), en UDP sur le port 443 (HTTPS). Cela signifie que le flux SMB n'utilise pas le port 445.

Au revoir Hyper-V Server

Il est à noter qu'avec Windows Server 2022, il n'y a pas de version Hyper-V Server où l'on peut installer directement un serveur Hyper-V avec un accès en ligne de commande. Pour le moment, l'alternative consiste à passer chez la concurrence, sur Azure Stack HCI ou à rester sur Hyper-V Server 2019.

Pour finir :

Pour rappel si vous êtes sur Windows Server 2012 ou Windows Server 2012 R2, le support prendra fin le 10 octobre 2023 (sauf sur Azure où il y a 3 ans de plus).

Que ce soit pour les éditions Standard ou Datacenter, Microsoft précise qu'au niveau des ressources matérielles, Windows Server 2022 supporte un maximum de 48 To de RAM sur l'hôte physique (contre 24 To pour Windows Server 2019), 2048 processeurs logiques (coeurs - contre 512 avec WS 2019).

Voir la documentation Microsoft

The post Les différentes éditions de Windows Server 2022 first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Comment cacher la version de son serveur web Apache ?

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons apprendre à cacher la version du serveur web Apache dans les en-têtes HTTP envoyées par notre serveur Apache mais aussi sur les pages d'erreurs.

Pourquoi cacher la version de son serveur web ?

La version d'un serveur web ou d'une autre application serveur est une information très utile aux pirates, car en fonction de la version utilisée, ils peuvent tester diverses attaques et failles connues sur ces versions. Si vous utilisez Apache en version 2.4.49, le pirate pourra rechercher les failles existantes et connues sur cette version, ce qui lui facilite la tâche.

La meilleure protection face à cela étant bien entendu de garder son serveur web à jour, mais il est aussi possible afin de rendre la tâche des attaquants plus longue, et donc plus difficile, de cacher la version de son serveur web Apache. C'est simple à mettre en place, alors pourquoi s'en priver ?

II. Afficher le numéro de version d'Apache

En tant qu'administrateurs, nous avons accès au serveur en direct. Il est alors facile d'afficher dans la console le numéro de version correspondant à notre serveur Apache local.

  • En local sur le serveur Apache

Sous Debian, on peut afficher la version installée avec la commande suivante :

apt-cache policy apache2

Nous aurons alors un résultat comme celui-ci :

apt-cache policy apache2
Exemple - apt-cache policy apache2

Nous voyons donc bien que la version installée est la "2.2.22-13".

Mais, on peut aussi utiliser la commande apachectl, intégrée à Apache avec l'option "-v" ou "-V" (plus de détails). Personnellement, j'utilise plutôt cette méthode.

sudo apachectl -v

Ce qui donne :

Afficher la version d'Apache avec apachectl -v
Afficher la version d'Apache avec apachectl -v

On peut voir, là aussi, que mon serveur est en version 2.4.51.

  • À distance, en tant que visiteur

Depuis une machine distante sous Linux et du paquet Curl, on peut interroger notre serveur Web (par son nom de domaine ou son adresse IP) et obtenir sa version grâce aux informations de l'en-tête HTTP.

curl -I 192.168.100.120

Ce qui donne :

Encore plus simple, on peut générer une page d'erreur à partir d'un navigateur. Par exemple, en accédant à une page qui n'existe pas :

http://192.168.100.120/blabla.html

Au sein de cette page d'erreur 404 (Not Found), on peut voir "Apache/2.4.51" !

Afficher la version d'Apache avec une simple page introuvable
Afficher la version d'Apache avec une simple page introuvable

III. Cacher la version d'Apache

Pour cacher la version d'Apache, il faut changer quelques options dans sa configuration qui se situe par défaut dans "/etc/apache2". Dans ce dossier racine, il y a plusieurs sous-dossiers et fichiers. Le fichier de configuration principal "apache2.conf" appelle les fichiers du dossier "conf-enabled".

Le fichier "/etc/apache2/conf-enabled/security.conf" contient les options ServerTokens et ServerSignature que nous allons modifier. On peut aussi modifier ces options directement via "apache2.conf" en ajoutant ces directives à la fin du fichier.

Modifiez ce fichier (ou ajoutez les lignes à la fin de "apache2.conf") :

sudo nano /etc/apache2/conf-enabled/security.conf

On va venir remplacer :

ServerTokens OS

Par le niveau le plus restrictif :

ServerTokens Prod

Cela va permettre de masquer la version d'Apache. Néanmoins il restera toujours la mention "Apache Server".

En complément, si l'on veut masquer la mention "Apache Server", il faut venir remplacer :

ServerSignature On

Par :

ServerSignature Off

On enregistre et on ferme le fichier de configuration. Après toute modification, il faut recharger la nouvelle configuration du serveur Apache pour qu'elle soit prise en compte :

sudo systemctl restart apache2

On voit donc bien que la version du serveur Apache n'est plus affichée, tout comme la mention "Apache Server".

Voilà, votre serveur n'affichera plus la version d'Apache lorsqu'il sera interrogé. Même si la signature du serveur est masquée, c'est-à-dire la mention "Apache" sans la version, dans certains cas on peut l'obtenir malgré tout (comme avec l'outil Curl).

The post Comment cacher la version de son serveur web Apache ? first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Installer un serveur LAMP (Linux Apache MariaDB PHP) sous Debian 11

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place un serveur Web "LAMP" sous Debian 11, afin de pouvoir héberger un site Internet (WordPress, Joomla, Drupal, etc...) ou une application (NextCloud, etc.).

Au fait, c'est quoi un serveur LAMP ? Il s'agit d'un serveur qui s'appuie sur 4 composants : L pour Linux, c'est-à-dire le système d'exploitation (Debian, dans notre cas), A pour Apache, c'est-à-dire le serveur Web, M pour MySQL/MariaDB, c'est-à-dire le système de gestion de bases de données, et P pour PHP, c'est-à-dire le moteur de scripts.

Pour suivre ce tutoriel, vous avez besoin d'une machine sous Debian, ou une distribution basée sur Debian.

II. Serveur LAMP sous Debian 11

A. Installer Apache sous Debian 11

On commence par mettre à jour le cache des paquets :

sudo apt-get update

Ensuite, on installe le paquet "apache2" afin d'obtenir la dernière version d'Apache 2.4.

sudo apt-get install -y apache2

Pour qu'Apache démarre automatiquement en même temps que Debian, saisissez la commande ci-dessous (même si normalement c'est déjà le cas) :

systemctl enable apache2
Synchronizing state of apache2.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable apache2

Suite à l'installation du paquet, le serveur Apache démarre directement. On devrait pouvoir accéder à sa page par défaut. Pour cela, il suffit de récupérer l'adresse IP du serveur :

ip address

Puis, à l'aide d'une machine équipée d'un navigateur, on peut accéder à notre serveur Apache :

http://192.168.100.120
Apache en ligne, sous Debian 11
Apache en ligne, sous Debian 11

Pour visualiser la version d'Apache que vous venez d'installer, c'est tout simple : exécutez la commande suivant :

apache2ctl -v
Server version: Apache/2.4.51 (Debian)
Server built: 2021-10-07T17:49:44

Apache 2.4.51 est la dernière version d'Apache au moment où j'écris cet article.

Avant d'aller plus loin, je vous recommande d'activer quelques modules d'Apache qui sont indispensables, notamment pour faire tourner un site Internet. Commençons par le module utilisé pour la réécriture d'URL :

a2enmod rewrite

L'occasion de découvrir la commande "a2enmod" qui sert à activer un module. A l'inverse, la commande "a2dismod" sert à désactiver un module.

Activons trois :autres modules :

  • "deflate" pour la gestion de la compression, notamment en gzip, pour utiliser la mise en cache des pages sur votre site
  • "headers" afin de pouvoir agir sur les en-têtes HTTP
  • "ssl" pour gérer les certificats SSL et donc l'utilisation du protocole HTTPS
a2enmod deflate
a2enmod headers
a2enmod ssl

Après avoir activé ou désactivé un module, ou modifié la configuration d'Apache, il faut redémarrer le service apache2 :

systemctl restart apache2

Où se situent la configuration d'Apache et des sites dans tout ça ?

Le fichier de configuration d'Apache 2 est le suivant :

/etc/apache2/apache2.conf

Dans un premier temps, il peut servir à configurer Apache pour ne pas afficher le numéro de version sur les pages d'erreurs. Même si cette option est gérable aussi dans le fichier "/etc/apache2/conf-enabled/security.conf", c'est au choix.

Note : pour la configuration qui concerne PHP, le fichier de configuration est différent : "/etc/php/7.4/apache2/php.ini"

Tandis que pour déclarer les hôtes virtuels, en anglais "Virtual hosts", ce qui correspond aux différents sites hébergés par Apache (oui, un serveur Apache peut gérer plusieurs sites indépendamment), il faudra s'intéresser à ces deux dossiers :

  • Dossier qui contient les fichiers de configuration des sites disponibles : /etc/apache2/sites-available/
  • Dossier qui contient les fichiers de configuration (via un lien symbolique), des sites actifs : /etc/apache2/sites-enabled

Par défaut, nous accédons à la page d'accueil d'Apache grâce à l'hôte virtuel déclaré dans le fichier "/etc/apache2/sites-enabled/000-default.conf", qui écoute sur le port 80 (HTTP) et dont la racine est le dossier "/var/www/html".

Je vous invite à lire mon tutoriel dédié à la configuration d'un Virtual Host pour en savoir plus :

Enfin, si vous souhaitez mettre en place l'authentification basique sur votre site, vous avez besoin de l'outil "htpasswd" inclus dans le paquet "apache2-utils" (comme d'autres outils). Vous pouvez l'installer à tout moment d'une simple commande :

sudo apt-get install -y apache2-utils

B. Installer PHP sous Debian 11

PHP va venir se greffer sur notre serveur Apache, comme une extension, afin de pouvoir traiter les scripts intégrés aux pages ".php". Afin d'y aller progressivement, installons le paquet "php" en lui-même :

sudo apt-get install -y php

On peut voir que cette commande va installer une multitude de paquets :

libapache2-mod-php7.4 libsodium23 php-common php7.4 php7.4-cli php7.4-common php7.4-json php7.4-opcache php7.4-readline

C'est très bien, nous avons quelques modules de base indispensables et "libapache2-mod-php7.4" qui permet l'intégration avec Apache.

Actuellement, c'est PHP 7.4 qui est dans les dépôts de Debian, même si PHP 8 est déjà disponible, toutes les applications ne sont pas encore compatibles. Il faut savoir que le support de PHP 7.4 assure les mises à jour de sécurité jusqu'au 28 novembre 2022. Ce qui laisse un peu de temps, mais il faut garder en tête qu'il faudra envisager de passer sur PHP 8.

Avant d'aller plus loin, nous allons installer quelques paquets supplémentaires pour compléter l'installation de PHP sur notre serveur. Par exemple, pour permettre les interactions entre PHP et notre instance MariaDB.

sudo apt-get install -y php-pdo php-mysql php-zip php-gd php-mbstring php-curl php-xml php-pear php-bcmath

Suite à cette installation, je vous invite à vérifier quelle version de PHP vous venez d'installer. Exécutez la commande suivante :

php -v
PHP 7.4.21 (cli) (built: Jul 2 2021 03:59:48) ( NTS )

Maintenant, pour nous assurer que notre moteur de script PHP est bien actif, nous allons créer un fichier "phpinfo.php" (ou un autre nom) à la racine de notre site Web :

sudo nano /var/www/html/phpinfo.php

Dans ce fichier, indiquez le code suivant :

<?php
phpinfo();
?>

Elle sera accessible à partir de cette adresse :

http://192.168.100.120/phpinfo.php

Cette page donne énormément d'informations sur toute la configuration de PHP et de notre serveur Apache. Il est fortement recommandé de la mettre en place seulement quand c'est nécessaire. Autrement dit, vous ne devez pas laisser cette page accessible par n'importe qui.

C. Installer MySQL/MariaDB sous Debian 11

MariaDB est un fork communautaire de MySQL et il présente l'avantage d'être open source et sous licence GPL, à la différence de MySQL qui est un logiciel propriétaire de chez Oracle, mais qui reste gratuit malgré tout. Il y a un excellent suivi pour MariaDB et c'est réellement un système très performant, vous pouvez miser sur ce composant sans aucun problème !

Pour installer MariaDB sous Debian 11, voici la commande à exécuter :

sudo apt-get install -y mariadb-server

Suite à l'installation, je vous invite à exécuter le script "mariadb-secure-installation" afin de sécuriser un minimum votre installation de MariaDB.

sudo mariadb-secure-installation

En résumé, vous allez pouvoir définir un mot de passe pour le compte "root" de MariaDB, empêcher les connexions distantes sur votre instance à l'aide du compte "root", empêcher les connexions anonymes et supprimer la base de test.

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user. If you've just installed MariaDB, and
haven't set the root password yet, you should just press enter here.

Enter current password for root (enter for none):
OK, successfully used password, moving on...

Setting the root password or using the unix_socket ensures that nobody
can log into the MariaDB root user without the proper authorisation.

You already have your root account protected, so you can safely answer 'n'.

Switch to unix_socket authentication [Y/n] n
... skipping.

You already have your root account protected, so you can safely answer 'n'.

Change the root password? [Y/n] Y
New password: **************
Re-enter new password: **************
Password updated successfully!
Reloading privilege tables..
... Success!


By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them. This is intended only for testing, and to make the installation
go a bit smoother. You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] y
... Success!

Normally, root should only be allowed to connect from 'localhost'. This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] y
... Success!

By default, MariaDB comes with a database named 'test' that anyone can
access. This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] y
- Dropping test database...
... Success!
- Removing privileges on test database...
... Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] y
... Success!

Cleaning up...

All done! If you've completed all of the above steps, your MariaDB
installation should now be secure.

Voilà, l'interrogatoire est terminé.

Pour obtenir le numéro de version de MariaDB, on peut utiliser cette commande :

mariadb -V
mariadb Ver 15.1 Distrib 10.5.12-MariaDB, for debian-linux-gnu (x86_64) using EditLine wrapper

Ou celle-ci en consultant le gestionnaire de paquets Aptitude (apt) :

apt policy mariadb-server
   mariadb-server:
   Installé : 1:10.5.12-0+deb11u1
   Candidat : 1:10.5.12-0+deb11u1
   Table de version :
   *** 1:10.5.12-0+deb11u1 500
   500 http://ftp.fr.debian.org/debian bullseye/main amd64 Packages
   100 /var/lib/dpkg/status

Il est à noter que même si l'on a installé MariaDB, on peut utiliser la commande "mysql", notamment pour afficher le numéro de version avec "mysql -V" ou ouvrir une console MySQL/MariaDB.

Avant de passer à la suite, vérifiez que vous parvenez à vous connecter à votre instance MariaDB :

sudo mariadb -u root -p

Saisissez le mot de passe "root". Ensuite, vous avez accès à la console MariaDB / MySQL. Vous pouvez saisir vos requêtes SQL ici. Par exemple, pour lister les bases de données de votre instance :

show databases;
Première connexion à MariaDB en ligne de commande
Première connexion à MariaDB en ligne de commande

Pour sortir de la console, saisissez la commande suivante :

exit

Il faudra revenir dans cette console lorsque vous allez déployer votre application sur votre serveur LAMP, par exemple WordPress, NextCloud, etc.... Afin de créer une base de données dédiée et un utilisateur dédié à cette application. Une alternative consiste à déployer PhpMyAdmin sur son serveur dans le but d'administrer MariaDB à partir d'une interface Web.

Après un changement de configuration de MariaDB, vous devez redémarrer le service :

systemctl restart mariadb

III. Conclusion

Voilà, votre serveur LAMP est installé ! Pour la suite de la configuration, cela dépend de l'application que vous souhaitez déployer, ou peut-être même qu'il s'agit d'un projet que vous avez vous-même développé.

Généralement, on commence par créer un nouvel hôte virtuel sur Apache pour accueillir les sources d'installation de l'application. Ensuite, on crée une base de données dédiée à cette application, avec son propre utilisateur (qui aura les droits seulement sur cette base), et on lance l'installation.

Si vous désirez installer WordPress sur votre serveur, vous pouvez suivre ce tutoriel (Installation de WordPress pas à pas) et cette vidéo :

The post Installer un serveur LAMP (Linux Apache MariaDB PHP) sous Debian 11 first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

La suite d’outils Sysinternals peut se mettre à jour via le Microsoft Store

Par : Florian Burnel

Microsoft a décidé d'intégrer la suite d'outils Sysinternals au Microsoft Store. Cela permet de réaliser l'installation facilement depuis le Store mais aussi de bénéficier des mises à jour automatique, comme les autres applications du Microsoft Store.

La suite d'outils Sysinternals contient des utilitaires très intéressants pour les administrateurs système et certains d'entre eux sont très connus, notamment PSExec, Sysmon, Process Monitor et Process Explorer. D'ailleurs, PSExec est un utilitaire qui permet d'exécuter des commandes sur un système distant, et il est parfois utilisé par certains malwares. Quant à Sysmon, je vous rappelle qu'il y a quelques jours, Microsoft a publié une version open source sur GitHub à destination de Linux !

Ces outils sont téléchargeables dans un package unique nommé Sysinternals Suite ou un par un, c'est au choix. Dans tous les cas, il n'était pas possible d'obtenir des mises à jour automatiques de ces outils. Désormais, les choses vont changer puisque la suite Sysinternals est disponible dans le Microsoft Store, aussi bien sur Windows 10 que sur Windows 11.

La suite Sysinternals dans le Microsoft Store
La suite Sysinternals dans le Microsoft Store

Lorsqu'une prochaine version sera disponible, le paquet sera mis à jour sur le Store et il sera possible de bénéficier de la mise à jour automatiquement. Désormais, ce paquet est également disponible avec WinGet, le gestionnaire de paquets développé par Microsoft.

Pour le moment, l'inconvénient c'est que vous devez installer toute la suite Sysinternals pour bénéficier des mises à jour automatiques. Il n'est pas possible de récupérer seulement Process Explorer via cette méthode, par exemple.

Source

The post La suite d’outils Sysinternals peut se mettre à jour via le Microsoft Store first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Windows 10 KB5006670 : erreur 0x00000709 lors des impressions en réseau !

Par : Florian Burnel

L'histoire se répète : de nombreux utilisateurs et administrateurs se plaignent de ne plus pouvoir imprimer sur des imprimantes en réseau après avoir installé la mise à jour KB5006670 sur Windows 10. Une erreur 0x00000709 est générée.

La mise à jour KB5006670 a été publiée la semaine dernière pour Windows 10 2004, 20H2 et 21H1, à l'occasion de la sortie du Patch Tuesday d'Octobre 2021. Dans le même temps, la mise à jour KB5006667 est sortie pour Windows 10 version 1909 et la KB5006714 pour Windows 8.

Dans ce patch, il y a des correctifs de sécurité pour deux vulnérabilités qui touchent les impressions sous Windows : CVE-2021-41332 et CVE-2021-36970. Il y a de fortes chances pour que ce soit la correction de ces failles qui génèrent ces nouveaux problèmes.

Suite à l'installation de cette mise à jour, les utilisateurs de Windows 10 rencontrent de nouveaux problèmes pour imprimer sur les imprimantes en réseau. Dans de nombreux cas, l'utilisateur obtient une erreur  0x00000709 ou une erreur "Élément introuvable" (Element not found) au moment de l'impression. Il se pourrait que le problème existe sur Windows 11 également, mais pour le moment c'est sur Windows 10 qu'il y a les signalements. Ce n'est pas étonnant, car il reste toujours le système le plus utilisé.

Depuis quelques mois, les mises à jour perturbent énormément les impressions, notamment en réseau, et font vivre un vrai calvaire aux administrateurs, mais aussi aux utilisateurs. En espérant que l'histoire ne se répète pas le mois prochain...

Comment corriger l'erreur d'impression 0x00000709 ?

Pour corriger cette erreur d'impression, il y a plusieurs solutions. Le problème c'est que Microsoft a tellement modifié et corrigé le système d'impression ces derniers mois, notamment en introduisant de nouveaux paramètres, que cela devient un peu le bazar....

Par exemple, la méthode qui consiste à désactiver la valeur "RpcAuthnLevelPrivacyEnabled" dans le Registre, ne fonctionne pas avec les nouveaux bugs d'octobre. Il n'est donc pas possible de reprendre le même principe que pour résoudre l'erreur d'impression 0x0000011b du mois dernier.

Méthode n°1 : désinstaller la mise à jour KB5006670

La méthode la plus directe, c'est de désinstaller la mise à jour KB5006670 de vos machines. Pour cela, vous pouvez exécuter la commande suivante dans un script que vous lancez par GPO :

wusa /uninstall /kb:5006670

Même si cela va surement faire fonctionner vos impressions, cela va aussi supprimer les correctifs de plusieurs dizaines de failles de sécurité, y compris une faille activement exploitée.

Méthode n°2 : remplacer le fichier Win32spl.dll

D'après les utilisateurs du forum Bleeping Computer, il y a une solution qui consiste à remplacer la bibliothèque Win32spl.dll d'octobre 2021 par la version de septembre 2021. Cela semble fonctionner dans certains cas.

En résumé, la DLL "Win32spl.dll version 10.0.19041.1288" doit être remplacée par la version 10.0.19041.1237.

Pour en savoir plus, consultez cette page.

Méthode n°3 : reconfigurer l'imprimante sur le serveur d'impression

Pour certains utilisateurs, il y a une autre méthode qui a fonctionné : supprimer l'imprimante du serveur d'impression et l'ajouter de nouveau. Cela va recréer une nouvelle file d'impressions, et visiblement résoudre le problème.

Méthode n°4 : réactiver la fonctionnalité CopyFiles

Certaines imprimantes, chez HP notamment, nécessitent la fonctionnalité CopyFiles mais Microsoft l'a désactivée en septembre dernier. Si vous avez besoin de réactiver cette fonctionnalité, vous pouvez le faire en créant une clé de Registre.

Pour cela, créez une nouvelle valeur DWORD nommée "CopyFilesPolicy" à cet endroit du Registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print

Attribuez la valeur "1" à cette nouvelle valeur de Registre.

Il s'agit de solutions à tester, évoquées par les membres du forum de Bleeping Computer. Cela vous donne des pistes pour tenter de remettre en service vos imprimantes. Celle qui est surement la plus efficace, c'est la méthode qui consiste à désinstaller la mise à jour d'octobre 2021, mais elle n'est pas top d'un point de vue de la sécurité.

N'hésitez pas à laisser un commentaire pour indiquer comment vous avez pu résoudre ces nouveaux problèmes d'impression.

Source

The post Windows 10 KB5006670 : erreur 0x00000709 lors des impressions en réseau ! first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Comment installer WordPress facilement sur un serveur Apache ?

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons voir comment installer WordPress facilement sur son serveur Web LAMP : Linux, Apache, MariaDB (MySQL) et PHP. Ce guide vous aidera étape par étape pour installer WordPress correctement.

Tutoriel pas à pas au format vidéo, en partant de zéro :

WordPress est un CMS (Content Management System) créé en 2003 qui va permettre de mettre en ligne un site Internet sans partir de zéro puisqu'il permet de créer, de modifier et d'administrer facilement un site web.

Aujourd'hui, c'est WordPress est le CMS le plus populaire et il permet de mettre en place de nombreux types de sites : sites vitrine, blog, sites d'e-commerce, etc...Grâce à son énorme communauté et les nombreux développeurs qui proposent des plug-ins (gratuits ou payants) afin de permettre la personnalisation de son site Web.

Nativement, WordPress va permettre de créer des utilisateurs, des pages et des articles. Il va permettre aussi de gérer la configuration globale du site (nom, adresse, format des liens, etc...). Cette base solide doit être complétée par des plug-ins (appelés aussi extensions) qui vont permettre d'ajouter des fonctionnalités à votre site WordPress, mais aussi d'avoir un thème graphique correspondant à vos attentes.

II. Prérequis pour installer WordPress

Certains hébergeurs proposent une installation clé en main, il suffit de cliquer sur un bouton et WordPress se déploie tout seul. Par contre, si vous gérez vous-même votre serveur, par exemple sur un serveur VPS ou un serveur dédié, c'est vous qui allez devoir réaliser l'installation.

Quant aux ressources que doit avoir votre machine, c'est-à-dire l'espace de stockage, le CPU et la RAM, j'ai envie de dire "ça dépend". En effet, au début ce sera surement très peu, mais si votre site grossit et qu'il y a de nombreux visiteurs, vous allez avoir besoin d'adapter les ressources en conséquence.

Pour suivre ce tutoriel, vous avez besoin d'une machine sous Linux, avec un accès "root" sur cette machine (ou un niveau de droits suffisants pour réaliser les manipulations qui vont suivre).

A. L'archive d'installation de WordPress

Connectez-vous sur votre serveur Linux en SSH afin de télécharger l'archive ZIP qui contient les sources de WordPress.

Positionnez-vous dans le dossier "/tmp" et téléchargez la dernière version de WordPress :

cd /tmp
wget https://wordpress.org/latest.zip

Voilà, laissez le téléchargement s'effectuer... Nous allons utiliser cette archive dans une prochaine étape.

B. Le serveur Web

Dans cet exemple, je vais partir sur un socle LAMP sous Debian 11 pour effectuer l'installation. Cela correspond à un serveur Web basé sur Linux (Debian 11) sur lequel on va retrouver Apache, MariaDB ou MySQL et PHP.

Pour Apache, installez la dernière version disponible dans les dépôts de votre distribution et vérifiez que vous êtes en mesure d'activer certains modules ("deflate" pour la compression GZip, "rewrite" pour la réécriture d'URL et "ssl" pour le support du HTTPS).

Au sujet de PHP, pour le moment je vous recommande de commencer par PHP 7.4 dans un premier temps et de basculer sur PHP 8 dans un second temps. Le support pour les mises à jour de sécurité de PHP 7.4 expire en novembre 2022.

Pour le système de gestion de bases de données, MariaDB (open source fork de MySQL) ou MySQL (gratuit, mais propriétaire Oracle), installez la dernière version disponible.

Si vous avez besoin d'aide pour mettre en place le serveur Web, c'est-à-dire installer les différents paquets, suivez le premier lien ci-dessous. Ce sera mon point de départ.

III. Créer une base de données pour WordPress

WordPress s'appuie sur une base de données afin de stocker toutes les informations liées à la configuration et à vos contenus (catégorie, pages, articles, etc.). Sur notre serveur Web, nous allons lui créer une base de données dédiée avec un utilisateur dédié, et ce dernier aura les droits uniquement sur la BDD WordPress.

Que ce soit avec MariaDB ou MySQL, vous pouvez vous connecter à la console de votre instance avec la commande suivante :

mysql –u root –p

Saisissez le mot de passe "root" de votre instance : une console va s'ouvrir, prête à recevoir des commandes SQL.

Première étape : la création de la base de données. Ne donnez pas un nom trop évident, mais parlant malgré tout, par exemple cela peut être : wp202110_itconnect. Ce nom reste parlant pour vous : on sait qu'il s'agit de la base de données WordPress (wp), créée en octobre 2021 pour le site "itconnect".

CREATE DATABASE wp202110_itconnect;
# Retour dans la console : 
Query OK, 1 row affected (0.001 sec)

Vous pouvez lister les bases de données de votre instance avec la commande suivante :

SHOW DATABASES;

On peut voir que notre base de données apparaît bien dans la liste :

Deuxième étape : créer l'utilisateur qui sera administrateur de la base de données WordPress. Cet utilisateur sera nommé "adminwp202110_itconnect" et il aura comme mot de passe "Votre-Super-Mot-De-Passe".

Ce qui donne la requête SQL suivante :

CREATE USER 'adminwp202110_itconnect'@'localhost' IDENTIFIED BY 'Votre-Super-Mot-De-Passe';

Troisième étape : donner tous les droits à l'utilisateur "adminwp202110_itconnect" sur la base de données WordPress. Notre serveur Web et la base de données étant sur le même serveur, nous allons donner ces droits pour une connexion locale. Ce qui donne :

GRANT ALL PRIVILEGES ON wp202110_itconnect.* TO adminwp202110_itconnect@localhost;

Enfin, il faut exécuter la commande suivante pour actualiser les droits et activer les nouveaux privilèges sur notre base de données :

FLUSH PRIVILEGES;

La base de données pour WordPress est prête. Pour le moment elle est vide, mais WordPress va créer sa structure de tables lors de l'installation. Quittez la console MariaDB / MySQL :

exit

Passons à l'étape suivante.

IV. Décompresser l'archive WordPress à la racine du site

Nous allons utiliser le site par défaut d'Apache, qui a pour racine "/var/www/html" afin de stocker les données de notre site WordPress. Au préalable, on supprime la page d'index créée par défaut par Apache :

sudo rm /var/www/html/index.html

Ensuite, on installe le paquet « zip » sur notre serveur pour pouvoir décompresser l’archive de WordPress :

sudo apt-get update 
sudo apt-get install zip

On décompresser l'archive dans "/var/www/html" grâce à la commande suivante (en étant positionné dans le dossier où l'on a téléchargé le fichier latest.zip) :

sudo unzip latest.zip -d /var/www/html

L'option "-d" permet de définir là où sera décompressée l'archive. Le dossier WordPress apparaitra donc dans "/var/www/html" qui est le dossier où sont stockées les pages web par défaut.

Le problème, c'est que là on vient de décompresser le contenu de l'archive ZIP dans un dossier nommé "wordpress", ce qui donne : /var/www/html/wordpress. Du coup, pour accéder à notre site, il faudra faire : http://domaine.fr/wordpress/. Ce n'est pas top, nous allons corriger cela dès maintenant.

Déplacez-vous dans le dossier "/var/www/html" :

cd /var/www/html

Ensuite, exécutez la commande ci-dessous pour déplacer tout le contenu du dossier "wordpress" à la racine de notre site :

sudo mv wordpress/* /var/www/html/

Puisque le dossier "wordpress" ne sert plus à rien, on va le supprimer :

sudo rm wordpress/ -Rf

Enfin, on termine en donnant les droits à l'utilisateur "www-data" (correspondant à Apache) sur tous les fichiers de notre site, de manière récursive :

sudo chown -R www-data:www-data /var/www/html/

On obtient une belle liste de fichiers et dossiers. Au niveau des droits et pour des raisons de sécurité, vous devez avoir 755 sur les dossiers et 644 sur les fichiers. Ce qui est le cas par défaut si vous n'avez pas fait de modifications. En aucun cas vous ne devez poser des droits "777" sur un dossier ou un fichier.

Aperçu des droits WordPress
Aperçu des droits WordPress

Si vous avez un doute ou que vous pensez avoir modifié les droits, vous pouvez rectifier la situation.

Pour les fichiers, exécutez cette commande :

sudo find /var/www/html/ -type f -exec chmod 644 {} \;

Pour les dossiers, exécutez cette commande :

sudo find /var/www/html/ -type d -exec chmod 755 {} \;

Passez à la suite : ce sera à partir d'un navigateur.

V. Installation de WordPress

Pour la première fois, nous allons nous connecter sur l'interface web WordPress dans le but d'effectuer l'installation. Pour cela, il faut se rendre sur "http://IP-SERVEUR" avec votre navigateur préféré. Si vous avez déjà enregistré le nom de domaine et que l'enregistrement A du DNS pointe vers votre serveur, vous devriez pouvoir accéder au site grâce au nom de domaine du serveur.

Note : vous pouvez aussi tricher avec le fichier hosts de votre machine cliente (Linux : /etc/hosts - Windows : C:\Windows\System32\drivers\etc\hosts) afin d'associer l'adresse IP de votre serveur à un nom de domaine en créant un enregistrement local.

La première étape consiste à choisir la langue du site et de l'interface de WordPress. Ça devrait aller. 🙂

Ensuite, cliquez sur le bouton "C'est parti !". WordPress va générer lui-même le fichier "wp-config.php" : il s'agit d'un fichier de configuration très sensible qui contient des informations confidentielles comme le nom de la base de données, le nom de l'utilisateur pour s'y connecter et le mot de passe associé. Indispensable pour que PHP (et donc WordPress) puisse utiliser votre base de données.

Voilà l'étape la plus délicate de l'installation via l'assistant. Vous devez renseigner les différents champs pour indiquer à WordPress comment se connecter à votre base de données.

  • Nom de la base de données : dans cet exemple, ce sera "wp202110_itconnect"
  • Identifiant : le nom de l'utilisateur qui a les droits sur la base de données, en l'occurrence "adminwp202110_itconnect"
  • Mot de passe : le mot de passe de cet utilisateur
  • Adresse de la base de données : si le serveur Web et la base de données sont sur le même serveur, indiquez "localhost", sinon indiquez l'adresse IP du serveur distant
  • Préfixe des tables : chaque table de la base de données WordPress aura un préfixe. Par défaut, ce préfixe est "wp" donc par exemple la table des utilisateurs sera nommée "wp_users". Il faut personnaliser ce préfixe et le rendre un peu plus aléatoire pour des raisons de sécurité. Pour ma part, je vais partir sur "web14_", mais vous pouvez prendre aussi quelque chose d'aléatoire comme "sg389_".

Quand vous êtes prêt, cliquez sur "Envoyer". Ce qui donne au final :

Indiquez à WordPress comment il doit se connecter à votre base de données.
Indiquez à WordPress comment il doit se connecter à votre base de données.

WordPress va tester de se connecter à votre base de données et si cela fonctionne, un bouton "Lancer l'installation" va s'afficher. Cliquez dessus.

Installer WordPress sous Linux : c'est le grand moment !
Installer WordPress sous Linux : c'est le grand moment !

Il ne reste que quelques champs à renseigner comme le titre du site (modifiable ultérieurement) et la création d'un premier compte utilisateur. Je dirais même d'un compte administrateur, car ce compte sera admin du site. Évitez les identifiants trop évidents comme "admin", "administrateur", "webadmin", "adminwordpress", etc... Prenez quelque chose de plus original et personnel !

Choisissez un mot de passe complexe pour cet utilisateur, indiquez l'adresse e-mail associée et cliquez sur "Installer WordPress". Si vous désirez monter votre site tranquillement sans qu'il soit indexer par Google et consort, cochez la case associée à l'option "Visibilité par les moteurs de recherche".

WordPress est installé ! Cliquez sur le bouton "Se connecter". Sur la page de connexion qui apparaît, authentifiez-vous avec le compte admin que vous venez de créer, pour ma part "adm_florian".

Avant d'aller plus loin, prenez 30 secondes pour retourner sur votre console Linux et réaliser deux petites opérations. Tout d'abord pour supprimer le fichier "wp-config-sample.php", car il n'a plus d'intérêt (nous avons notre fichier wp-config.php définitif).

sudo rm /var/www/html/wp-config-sample.php

Ensuite, pour appliquer des droits très restrictifs sur le fichier "wp-config.php" pour le basculer en lecture seule seulement pour Apache. Indispensable pour des raisons de sécurité.

sudo chmod 400 /var/www/html/wp-config.php

Suite à la connexion, vous arrivez sur l'interface d'administration de WordPress. C'est votre centre de contrôle pour créer vos pages, vos articles, mais aussi ajouter des extensions, des thèmes et configurer WordPress dans son ensemble.

Cette interface d'administration est accessible à l'adresse suivante : http://<adresse-ip-ou-domaine>/wp-admin/.

L'interface d'administration de WordPress
L'interface d'administration de WordPress

En haut de l'interface, on peut qu'il y a une notification avec un "1". Cette icône correspond aux mises à jour et signifie qu'il y a une mise à jour disponible. Il peut s'agir d'une mise à jour de WordPress, d'une extension, d'un thème ou d'une traduction.

Par défaut, WordPress est livré avec deux extensions :

  • Akismet Anti-Spam qui est une extension performante pour lutter contre les spams dans les commentaires (je vous la recommande si vous envisagez de laisser la possibilité de publier des commentaires sur votre site)
  • Hello Dolly qui ne sert pas à grand-chose puisqu'elle sert seulement à afficher les paroles de la chanson "Hello, Dolly" de Louis Armstrong. Ne me demandez pas pourquoi, mais elle est là.

Ces deux extensions sont désactivées par défaut. En fait, une extension peut être présente sur votre installation de WordPress, c'est-à-dire qu'elle est téléchargée, mais non activée. De toute façon, lorsqu'une nouvelle extension est ajoutée sur WordPress, il faut toujours l'activer manuellement.

Le suivi des mises à jour est indispensable
Le suivi des mises à jour est indispensable

Sur le site en lui-même, c'est-à-dire la partie publique, cela donne :

WordPress est installé et il ne demande plus qu'une chose : être configuré et personnalisé.

Je vous recommande fortement de maintenir dans le temps votre site WordPress et de bien suivre les mises à jour. C'est un outil très populaire et donc, de fait, très ciblé par les hackers. Lorsque vous choisissez d'installer une extension, veillez à ce que ce soit une extension suivie (regardez la fréquence des mises à jour et la date de la dernière mise à jour) et bien notée.

Il y a également de bonnes extensions à mettre en place pour sécuriser son site WordPress contre les attaques courantes en ajoutant une fonction de pare-feu à WordPress. Pensez également à mettre en place une solution pour sauvegarder votre site (base de données + fichiers).

Si vous avez des questions sur l'installation ou sur WordPress, n'hésitez pas à laisser un commentaire sur ce tutoriel. De même si vous aimeriez un tutoriel sur une fonctionnalité particulière.

The post Comment installer WordPress facilement sur un serveur Apache ? first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Automatiser le processus de mise à jour Apt sur Debian

Par : Geoffrey Sauvageot-Berland

I. Présentation

Dans ce tutoriel, nous allons voir comment automatiser le processus de mise à jour d'une machine Linux sous Debian ou Ubuntu. En effet, à partir d'un certain nombre d'instances de VM (ou de machines physiques), il est assez fastidieux de taper ne serait-ce qu'une fois par mois : "apt update && apt upgrade" sur toutes vos machines. L'objectif de cet article est de se la jouer fainéant, mais surtout futé en automatisant le processus.

"Je choisis une personne paresseuse pour un travail difficile, car une personne paresseuse va trouver un moyen facile de le faire." - Bill Gates 

II. Automatiser le processus de mise à jour avec un script bash

Nous allons créer un petit script bash pour réaliser notre automatisation. Afin de garder une trace de chaque exécution, je vais rediriger le contenu de stderr (en cas de retour d'une erreur lors de l'exécution du script) et stdout (en cas de succès).

Plus d'informations concernant la redirection des flux standard sous Linux.

Suivez les étapes ci-dessous, les commentaires sont là pour vous guider.

# Création du fichier
touch /home/user/script.sh 

# Edition du script
nano /home/user/script.sh
# Contenu du script "script.sh"
#!/bin/bash
echo ">>------------------------------------------------$(date)---------------------------------------------<<" >> /var/log/update_upgrade.log
echo ">>------------------errors------------------------------$(date)---------------errors------------------------------<<" >> /var/log/update_upgrade.err
export DEBIAN_FRONTEND=noninteractive
apt-get update && apt-get upgrade -y >> /var/log/update_upgrade.log 2>> /var/log/update_upgrade.err

# On donne les droits d'exécution sur le script
chmod u+x /home/user/script.sh 

# On édite la crontab 
crontab -e 

# Adaptez l'heure de la cron en fonction de l'heure à laquelle vous souhaitez faire votre test. 
06 17 * * * /home/user/script.sh

# Affichez les logs 
cat /var/log/update_upgrade.*

Je vais détailler quelques éléments du script ci-dessous :

- "DEBIAN_FRONTEND=noninteractive" : Nous allons activer ce mode par le biais de l'instanciation d'une variable DEBIAN_FRONTEND.  Utilisez ce mode lorsque vous n'avez besoin d'aucune interaction lors de l'installation ou de la mise à niveau du système via apt. Il accepte la réponse par défaut pour toutes les questions. Il peut envoyer un message d'erreur à l'utilisateur root, mais c'est tout. Une interface parfaite pour les installations automatiques. On peut utiliser ce mode dans des fichiers Dockerfile, des scripts shell, etc.

- ">> /var/log/update_upgrade.log" : Redirige la sortie standard du couple de commandes vers le fichier update_upgrade.log, afin d'avoir une trace de ce qu'il s'est passé.

- "2>> /var/log/update_upgrade.err" : Redirige la ou les erreurs en cas d'échec du couple de commandes vers le fichier update_upgrade.err. Normalement, ce fichier devrait toujours être vide. Le cas contraire indiquerait que vous avez un problème lors de l'exécution des deux commandes (il faudrait le cas échéant, déprogrammer la tâche cron, puis investiguer manuellement). Cas concret : si vous avez une coupure internet pile au moment du lancement du processus, apt vous renverra une erreur.

Il est à noter que les upgrades de tous les paquets se feront automatiquement sur Debian/Ubuntu, sauf les upgrades du noyau Linux, qui sont exclus par défaut, lorsque apt upgrade est automatisé. Pour faire ce genre de mise à jour, il faudrait manuellement taper la commande. 

Note 1 : Si au sein de votre parc informatique, vous avez un très grand nombre de machines Debian/Ubuntu (plus d'une centaine) par exemple, il serait peut-être judicieux de créer votre propre reposiotry local. Je vous laisse le soin de consulter ces deux articles si le sujet vous intéresse :

Ubuntu : comment créer son propre repository local ?  

Debian : comment créer son propre repository local ?

Note 2 : lors de la première exécution du script, il se peut que vous obteniez les messages (warnings) suivant :

cat /var/log/update_upgrade.err

Après quelques recherches, cette erreur intervient lors de la première exécution du script. Mais par la suite, vous ne devriez pas la rencontrer de nouveau.

En effet d'après ce que j'en ai déduit, le processus dpkg parent d'apt s'inquiète que la modification du mode frontend ait été changée, et nous le signale simplement. En aucun cas, ces messages qui pourraient s'apparenter à des "erreurs fatales" ne sont bloquants pour la mise à jour des dépôts distants et l'installation de nouveaux paquets, donc pas de stress ! 🙂

III. Automatiser le processus de suppression des paquets obsolètes  ?

Hum... Selon moi ce n'est pas une bonne idée, car certaines applications (anciennes ou non) peuvent reposer sur d'anciens packages. Je ne vous recommande pas d'effectuer cette automatisation au risque de perturber certains services de vos serveurs et d'occasionner un dysfonctionnement.

Selon moi, la commande "apt autoremove" doit être exécutée manuellement et avec une attention toute particulière, afin de bien évaluer l'impact de la suppression des paquets détectés comme obsolète/plus utile.

IV. Conclusion et idées d'optimisations

L'automatisation c'est génial ! Mais, gardez en tête qu'il faut de temps à autre jeter un œil au fichier de log, afin de vérifier que les automatisations fonctionnent comme vous le souhaitez.

Pour cela, je vous conseille de vous créer un fichier Excel ou équivalent avec la création d'un planning de tâche cron. C'est ce que j'utilise actuellement, et cela me permet de "prendre de la hauteur" sur l'ensemble de mes automatisations, et de ne pas être perdu parmi les nombreuses tâches cron qui s'exécute (à savoir des dizaines...).

Afin de ne pas vérifier tous les fichiers de logs apt un par un sur tous vos serveurs, il pourrait être judicieux d'implémenter un serveur RSYSLOG afin de centraliser la gestion de vos logs de mises à jour. Comme je suis sympa, je vous donne le morceau de configuration a ajouter dans la configuration rsyslog côté client (pas besoin de mettre quoi que ce soit dans la configuration côté serveur rsyslog).

Ajoutez ce bout de code à la fin du fichier /etc/rsyslog.conf de la machine qui transfert ses logs, et adaptez le en conséquence.

# ...
$ModLoad imfile
$InputFileName /var/log/update_upgrade.log
$InputFileTag tag_app_log:
$InputFileStateFile app_log1
$InputFileSeverity info
$InputFileFacility apt-update-upgrade
$InputRunFileMonitor
apt-update-upgrade @ip-du-serveur-rsyslog:514

# Si-vous utilisez TCP pour le transfert des logs au lieu d'UDP, veilliez à mettre deux @@ au lieu d'un.

A vous de jouer !

The post Automatiser le processus de mise à jour Apt sur Debian first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

De nouveaux problèmes d’impression touchent Windows 10 et… Windows 11 !

Par : Florian Burnel

Microsoft a confirmé l'existence de plusieurs problèmes d'impression qui touchent Windows 11, son nouveau système d'exploitation, mais aussi Windows 10 ainsi que Windows Server.

Ces nouveaux problèmes concernent l'installation des imprimantes en elles-mêmes. Compte tenu du type de problème, ce sont les entreprises qui sont concernées plutôt que les particuliers. Au total, il y a trois nouveaux bugs différents comme vous allez pouvoir le découvrir en lisant cet article.

Dans certains cas, l'imprimante ne veut pas s'installer si le déploiement de l'imprimante s'effectue via une connexion IPP (Internet Printing Protocol) ou au travers d'une connexion HTTP.

Par ailleurs, si vous configurez des paramètres d'impression personnalisés sur l'imprimante au niveau de votre serveur d'impression, il y a des chances pour que ces paramètres ne s'appliquent pas correctement sur le poste client.

D'après la documentation de Microsoft, la majorité des systèmes sont affectés, quoi que la liste évolue en fonction du bug (voir lien vers la documentation Microsoft) :

  • Desktop : Windows 10, version 21H1; Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1; Windows 11, version 21H2
  • Server : Windows Server 2022; Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2016; Windows Server 2012; Windows Server 2008 SP2

Visiblement, ce n'est pas le patch cumulatif d'Octobre 2021 qui est en cause de ce problème. En effet, Microsoft précise que pour corriger ce problème sur Windows 10, il faut installer le nouveau patch cumulatif pour bénéficier des dernières mises à jour. Par contre, il s'avère que des utilisateurs qui ont installé ce patch sur Windows 10 ont rencontrés d'autres problèmes, toujours avec les impressions !

Pour Windows 11 en revanche, il faudra patienter en attendant qu'un correctif soit mis en ligne : Microsoft est en cours d'investigation sur ce dysfonctionnement. En attendant, il faut installer les pilotes à la main, sous réserve d'avoir les droits pour le faire !

En début de semaine, je vous parlais d'un autre problème d'impression sous Windows 11 qui concerne les imprimantes Brother connectées en USB.

De votre côté, avez-vous rencontré ces problèmes ?

Source

The post De nouveaux problèmes d’impression touchent Windows 10 et… Windows 11 ! first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

L’outil Sysmon de Windows est désormais disponible sur Linux !

Par : Florian Burnel

L'outil de monitoring Sysmon est bien connu des administrateurs système Windows. Désormais, il est utilisable sur Linux puisque Microsoft vient de publier une version open source sur GitHub avec les instructions d'installation.

Sysmon pour System Monitor, fait partie de la suite d'outils Sysinternals et il s'agit d'un outil de monitoring qui va surveiller l'activité de votre serveur Windows. Il est intéressant pour détecter les activités malveillantes, car il peut veiller sur votre système à la recherche d'événements spécifiques : création d'un utilisateur, création de fichiers, etc. Il se configure à l'aide d'un fichier de configuration et il va ensuite venir alimenter l'Observateur d'événement de votre machine.

Désormais, Sysmon est disponible pour Linux, sous la forme d'un projet open source disponible sur GitHub ! C'est ce que l'on vient d'apprendre par l'intermédiaire de Mark Russinovich de chez Microsoft et du co-fondateur de la suite Sysinternals.

Pour le moment, l'installation n'est pas aussi simple qu'avec la majorité des paquets. Il faut compiler soi-même le paquet et s'assurer d'avoir toutes les dépendances, comme par exemple installer au préalable SysinternalsEBPF sur sa machine. Tout cela est expliqué dans la documentation sur GitHub (voir lien ci-dessus).

Lorsqu'il sera configuré et actif sur une machine Linux, l'outil Sysmon va venir écrire ses événements dans le fichier "/var/log/syslog" de la machine.

D'après les tests effectués par le site Bleeping Computer, il vaut mieux configurer l'outil pour restreindre ce qui est loggué car sinon ça va rapidement devenir énorme en termes de logs (et surcharger votre serveur Syslog). D'ailleurs, il y a même des événements surveillés par défaut qui ne fonctionneront pas sur Linux : ce qui est associé au Registre, par exemple.

Les événements ajoutés dans le fichier "syslog" sont au format XML, comme dans l'Observateur d'événements de Windows, ce qui ne facilite pas la lecture avec la console Linux.

Pensez-vous tester Sysmon sur Linux ?

Source

The post L’outil Sysmon de Windows est désormais disponible sur Linux ! first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Yubico lance des clés d’authentification avec capteur biométrique

Par : Florian Burnel

La société Yubico propose des clés d'authentification physiques appelées Yubikey et cette gamme de produits va accueillir un nouveau modèle doté d'un capteur biométrique. La clé YubiKey Bio va vous permettre de vous authentifier avec votre empreinte digitale.

Les entreprises sont de plus en plus nombreuses à prôner l'authentification sans mot de passe, et certains services s'y mettent, comme Microsoft qui propose cette possibilité pour se connecter à son compte Microsoft sans mot de passe. À la place du mot de passe, vous devez utiliser une solution plus sécurisée et plus fiable, comme l'authentification biométrique justement, ou une application comme Microsoft Authenticator qui génère des codes à usage unique.

De son côté, Yubico vient de présenter une nouvelle clé d'authentification baptisée YubiKey Bio et qui a la particularité d'intégrer un lecteur d'empreintes digitales. La clé YubiKey Bio s'apparente à une clé USB standard, avec un connecteur USB-A ou USB-C selon la version, avec un capteur biométrique sur le dessus. Sur un PC portable, cela s'annonce particulièrement pratique tandis que sur un ordinateur fixe, il faudra avoir un port USB en façade ou alors prévoir une rallonge sur le bureau pour qu'elle soit à portée de l'utilisateur.

Au niveau des standards d'authentification pris en charge par cette clé, il y a le FIDO2/WebAuthn et l'U2F. Par contre, ce modèle n'est pas compatible avec l'OTP ou le standard Smart Card.

Où est-il possible de s'authentifier avec la clé YubiKey Bio ? Cette clé permet de s'authentifier sur de nombreux services tels comme votre compte Google, votre compte Microsoft, GitHub, Bitwarden Premium, Citrix Workspace, GitLab, CloudFlare, etc... Mais aussi les réseaux sociaux. Que ce soit avec de l'authentification sans mot de passe ou au sein d'un processeur d'authentification à plusieurs facteurs. Vous pouvez retrouver la liste sur cette page.

La clé YubiKey Bio est vendue 80 € HT avec le connecteur USB-A et 85 € HT avec le connecteur USB-C. Vous pouvez l'acheter sur le site officiel de Yubico.

Puisque l'on parle d'authentification, je vous rappelle que l'ANSSI a publié un nouveau guide au sujet des mots de passe et de l'authentification multifacteur.

The post Yubico lance des clés d’authentification avec capteur biométrique first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Comment installer Windows 11 sur un PC non compatible ?

Par : Florian Burnel

I. Présentation

Dans ce tutoriel, nous allons voir comment installer Windows 11 sur un PC non compatible, c'est-à-dire un PC qui ne supporte pas le Secure Boot, qui n'a pas de puce TPM 2.0 ou moins de 4 Go de RAM.

Au-delà de l'installation sur un ordinateur, cette manipulation est également utile pour installer Windows 11 sur une machine virtuelle si l'hôte physique ne respecte pas tous les prérequis, que la VM n'a pas suffisamment de RAM, ou si votre logiciel de virtualisation ne prend pas en charge l'exposition TPM au niveau de la VM.

Note : si vous désirez mettre à niveau Windows 10 vers Windows 11 sur un PC non compatible, suivez mon tutoriel dédié à cette manipulation.

Mon PC Windows 10 n'est pas compatible Windows 11, que faire ?
Mon PC Windows 10 n'est pas compatible Windows 11, que faire ?

Avant de commencer, je tiens à vous rappeler qu'il est déconseillé d'installer Windows 11 sur une machine non compatible. Pourquoi ? Déjà, car vous faites une croix sur certaines fonctionnalités de sécurité (notamment les mises à jour de sécurité) si vous n'avez pas de puce TPM, mais aussi parce que Microsoft spécifie qu'il peut y avoir des crashs au niveau du noyau de Windows, mais aussi des écrans bleus de la mort (Blue screen of dead). Au final, cela peut mener à une perte de données pour les plus malchanceux.

Installer Windows 11 sur un PC non compatible, c'est possible et ce n'est plus un secret. Il y a même plusieurs façons de faire : en modifiant le Registre lors de l'installation, en modifiant le fichier ISO d'installation de Windows 11, et enfin, en modifiant la clé USB bootable d'installation de Windows 11.

Aujourd'hui, je vais vous expliquer comment modifier le Registre pendant l'installation pour bypasser les prérequis de Windows 11, et nous verrons aussi comment créer une clé USB bootable Windows 11 avec Rufus.

Avant de commencer, vous allez devoir télécharger un ISO de Windows, rendez-vous sur cette page pour savoir comment procéder : télécharger un ISO de Windows 11.

II. Rappel sur les prérequis de Windows 11

Avant de commencer, voici un rappel au sujet des prérequis de Windows 11 :

  • Un CPU 64 bits, 1 GHz minimum, deux cœurs minimum (Intel, AMD ou Qualcomm)... Et pas trop ancien... C'est-à-dire Intel Core 8th génération et supérieur, et AMD Ryzen 2000 et plus récents.
  • RAM : 4 Go minimum
  • Stockage : 64 Go minimum
  • UEFI Secure Boot supporté et actif
  • Un module TPM 2.0 actif
  • Une puce graphique compatible DirectX 12 avec un pilote WDDM 2.0
  • Un écran avec une résolution minimale de 720p et de 9 pouces minimum

Des informations que vous pouvez retrouver sur le site de Microsoft : Microsoft Docs - Prérequis Windows 11

Sachez que si vous utilisez un processeur 32 bits, vous ne pourrez pas installer Windows 11, car Windows 11 existe seulement en 64 bits.

Pour rappel, vous pouvez analyser votre machine avec l'outil officiel "PC Health Check" afin de savoir quels sont les prérequis que ne respecte pas votre PC.

III. Windows 11 : bypasser les prérequis avec le Registre

Grâce à ces modifications dans le Registre pendant le processus d'installation, nous allons pouvoir bypasser plusieurs prérequis : TPM, Secure Boot et la RAM. Démarrez l'installation de Windows 11... Vous allez arriver sur cet écran :

Sans aller plus loin, utilisez le raccourci clavier "MAJ + F10" pour ouvrir une Invite de commande (cmd.exe), comme ceci :

Une fois l'invite de commande ouverte, saisissez la commande suivante :

regedit.exe

Cela va ouvrir l'éditeur du Registre. Parcourez l'arborescence du registre de cette façon :

HKEY_LOCAL_MACHINE\SYSTEM\Setup

Effectuez un clic droit sur "Setup" à gauche, puis sous "Nouveau" cliquez sur "Clé" afin de créer une nouvelle clé nommée "LabConfig" (en respectant la casse).

Installation de Windows 11 - Création de la clé LabConfig
Installation de Windows 11 - Création de la clé LabConfig

Au sein de la clé LabConfig, nous allons devoir créer trois valeurs DWORD 32 bits :

  • BypassTPMCheck
  • BypassSecureBootCheck
  • BypassRAMCheck

Commençons par la première valeur nommée "BypassTPMCheck". Effectuez un clic droit sur "LabConfig" (ou dans la partie de droite après avoir cliqué sur "LabConfig"), puis sous "Nouveau" cliquez sur "Valeur DWORD 32 bits".

Nommez la valeur "BypassTPMCheck". Validez puis modifiez la valeur pour indiquer "1" à la place de "0". Voilà, la première valeur est créée.

Windows 11 : création de la valeur BypassTPMCheck
Windows 11 : création de la valeur BypassTPMCheck

Répéter cette opération pour créer deux autres valeurs à "1" : BypassSecureBootCheck et BypassRAMCheck.

À la fin, au sein de la clé LabConfig, vous obtenez ceci :

Aperçu de BypassTPMCheck, BypassSecureBootCheck et BypassRAMCheck
Aperçu de BypassTPMCheck, BypassSecureBootCheck et BypassRAMCheck

Vous pouvez fermer l'éditeur de Registre et l'Invite de commande. Ensuite, poursuivez l'installation de Windows 11 normalement : vous n'allez plus être embêté par les prérequis !

Patientez pendant l'installation...

Voilà, après le redémarrage, il ne reste plus qu'à suivre les dernières étapes de l'installation de Windows 11... Si vous installez Windows 11 Famille, le compte Microsoft et la connexion Internet seront obligatoires, tandis qu'un compte local pourra être utilisé avec Windows 11 Pro.

IV. Créer une clé USB bootable Windows 11

Pour créer une clé USB bootable afin d'installer Windows 11 tout en bypassant les prérequis (ou pas d'ailleurs), je vous invite à utiliser l'outil Rufus. En complément, vous avez besoin d'un ISO de Windows 11 et d'une clé USB de 8 Go minimum (elle sera formatée alors pensez à sauvegarder vos données).

Récupérez la dernière version sur la page suivante et prenez la version "rufus-3.16_BETA2.exe" qui est la plus récente au moment où j'écris cet article.

Exécutez le logiciel, sélectionnez votre clé USB au niveau du champ "Périphérique" et cliquez sur le bouton "Sélection" pour rechercher votre fichier ISO sur votre machine.

Ensuite, pour le paramètre "Option d'image", sélectionnez "Extended Windows 11 Installation (no TPM/no Secure Boot/8GB- RAM)" si vous souhaitez bypasser les prérequis.

Créer une clé bootable Windows 11 qui bypass les prérequis
Créer une clé bootable Windows 11 qui bypass les prérequis

Pour le reste des paramètres, vous pouvez laisser les valeurs par défaut. Cliquez sur "Démarrer" pour lancer la création de la clé bootable. Ce sera plus ou moins rapide en fonction de la réactivité de votre clé USB.

La clé USB Windows 11 est prête, vous pouvez installer le système d'exploitation sans avoir à réaliser les modifications dans le Registre comme nous l'avons vu précédemment ! Profitez bien !

The post Comment installer Windows 11 sur un PC non compatible ? first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Apple publie iOS 15.0.2 dans le but de corriger deux failles zero-day

Par : Florian Burnel

Apple a publié une nouvelle mise à jour mineure, mais importante de son système d'exploitation iOS, qui passe en version 15.0.2, afin de corriger deux failles zero-day. L'une permet d'accéder à des infos personnelles, tandis que l'autre permet d'exécuter des commandes avec des privilèges élevés.

Apple a corrigé cette vulnérabilité sans même crédit ou informer Denis Tokarev, le développeur à l'origine de cette découverte. D'ailleurs, cela fait 7 mois qu'il a prévenu Apple de l'existence de cette vulnérabilité. Ce n'est pas la première fois qu'Apple oublie de créditer Denis Tokarev puisque le cas s'est déjà produit en juillet dernier, lorsqu'il a découvert une faille dans iOS 14.7. Au total, entre 10 mars et le 4 mai 2021, il a découvert 4 failles Zero-Day dans iOS. Ces failles sont aujourd'hui corrigées, dont deux lorsqu’iOS 15.0 est sorti.

Cette expérience rencontrée par Denis Tokarev avec Apple n'est pas un cas isolé, puisque d'autres personnes ont rencontré une expérience similaire lorsqu'ils ont signalé un bug de sécurité via la plateforme Apple Security Bounty Program. Parfois, Apple chercher à corriger les bugs de sécurité discrètement sans mettre en avant les auteurs de ces découvertes.

La faille zero-day corrigée dans iOS 15.0.2 correspond à un bug de sécurité exploitable par le biais d'applications installées à partir de l'App Store et donnant un accès non autorisé à des données sensibles, et normalement protégées par les mécanismes de sécurité du système iOS.

À l'occasion de la sortie d'iOS 15.0.2 et d'iPadOS 15.0.2, Apple a corrigé une seconde faille zero-day activement exploitée par les pirates et correspondante à la CVE-2021-30883. Il s'agit d'une vulnérabilité de type corruption de mémoire au sein du composant IOMobileFrameBuffer. Lorsqu'elle est exploitée, l'attaquant peut, au travers d'une application malveillante, exécuter des commandes avec les droits du noyau iOS sur l'appareil.

Si vous avez un iPhone ou un iPad et que vous utilisez iOS 15, il est temps de faire un arrêt au stand pour installer la mise à jour afin de protéger votre appareil et vos données.

Source

The post Apple publie iOS 15.0.2 dans le but de corriger deux failles zero-day first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

NAS ASUSTOR : le système ADM 4.0 est disponible !

Par : Florian Burnel

Après plusieurs mois de développement, ASUSTOR a publié la nouvelle version de son système pour NAS : ADM 4.0. Dès aujourd'hui, ADM 4.0 est disponible en version stable.

Je vous ai déjà parlé des nouveautés d'ADM 4.0 à l'occasion de la sortie de la bêta, mais cette sortie officielle est l'occasion d'en parler une nouvelle fois.

ASUSTOR annonce avoir retravaillé l'interface utilisateur : dans la pratique, cela se traduit par une nouvelle page de connexion, plus personnalisable, notamment au niveau de l'apparence, mais aussi de la disposition. Pour aller plus loin, d'autres thèmes sont proposés et il y a un mode sombre.

Mise à part l'apparence, ASUSTOR a travaillé sur l'ergonomie et sur l'expérience utilisateur. Par exemple, lors d'une recherche d'un fichier sur votre NAS, vous pouvez obtenir une prévisualisation en temps réel des résultats, et avoir accès aux informations sur le fichier.

ADM 4.0

La nouvelle fonctionnalité Web Center fait son apparition. Elle permet de regrouper les fonctionnalités liées à la création et la gestion d'un serveur Web. Concrètement, Apache et NginX vont devenir configurables directement à partir de l'interface web d'ADM, au sein d'un espace dédié. Ce qui devrait plaire à ceux qui veulent héberger un site ou une application sur leur NAS.

ASUSTOR ADM 4.0

ADM 4.0 va permettre à ASUSTOR de mettre à niveau des composants au cœur du système, là on parle vraiment de mécanique pure. Prenons le cas du noyau Linux : il passe en version 5.4. Grâce à cette mise à niveau du noyau, ASUSTOR propose le système de fichiers exFAT gratuitement, puisqu'il est intégré à cette version du noyau Linux. Jusqu'ici, ce n'était pas le cas, car cela nécessitait l'acquisition d'une licence (à l'époque, Microsoft n'était pas autant tourné vers le monde du libre).

En complément, le paquet SAMBA est mis à niveau vers la version 4.12, de quoi gagner en performances, mais aussi en sécurité pour bénéficier des correctifs contre les vulnérabilités récentes. ASUSTOR va plus loin et évoque une amélioration des performances de l'ordre de 5%, et une meilleure prise en charge des sauvegardes effectuées à partir de Time Machine, sous macOS. Autre composant qui va bénéficier d'une mise à jour : OpenSSL, pour corriger deux failles de sécurité (CVE-2021-3711 et CVE-2021-3712).

Si vous avez un NAS ASUSTOR, vous pouvez mettre à jour votre équipement vers ADM 4.0, tout en sachant qu'il est disponible sur les séries suivantes : AS10, AS31/32, AS40, AS50/51, AS61/62, AS63/64, AS70, AS71, Nimbustor, Lockerstor, Lockerstor Pro.

Une nouvelle version d'ADM, à découvrir ici : Site officiel - ASUSTOR

Si vous êtes intéressé par ASUSTOR, n'hésitez pas à lire mon test de l'ASUSTOR Drivestor 2 Pro.

The post NAS ASUSTOR : le système ADM 4.0 est disponible ! first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Panne OVH : l’origine ? Une erreur humaine et un mauvais copier-coller !

Par : Florian Burnel

Ce matin, l'hébergeur français OVH a connu une panne importante sur son infrastructure, notamment sur le routage IPv4, rendant inaccessibles des milliers de sites Internet, dont IT-Connect. En cause : une erreur humaine et un mauvais copier-coller.

Chez OVH, une opération de maintenance sur les routeurs était prévue ce matin, notamment pour augmenter la capacité d'OVH à traiter et absorber les attaques DDoS, de plus en plus nombreuse d'après Octave Klaba, le fondateur. Malheureusement, cette opération de maintenance s'est mal passée et c'est devenu un vrai cauchemar pour les équipes techniques.

À partir de 09h30 et jusqu'à environ 10h20, des milliers de sites étaient inaccessibles, y compris le site d'OVH en lui-même ainsi que les sites de l'hébergeur permettant de suivre les incidents.

Octave Klaba n'a pas tardé à s'exprimer par l'intermédiaire de son compte Twitter. Après avoir précisé qu'il s'agissait d'une erreur humaine, il a publié un second message pour être un peu plus précis : c'est un mauvais copier-coller qui est à l'origine de cette panne générale. En effet, une ligne de configuration qui devait être injectée sur une seule ligne s'est retrouvée sur deux lignes, ce qui n'a pas eu du tout le même effet !

Panne OVH du 13 octobre 2021
Panne OVH du 13 octobre 2021 - Source : Twitter.com

En tout cas, c'est appréciable que le fondateur d'OVH prenne le temps d'expliquer précisément ce qui s'est passé, en toute transparence.

Pendant ce temps, Twitter s'est déchaîné comme d'habitude et certains n'ont pas hésité à préciser qu'il s'agissait du premier jour de travail chez OVH pour l'ancien employé de Facebook, en référence à l'énorme panne de la semaine dernière.

The post Panne OVH : l’origine ? Une erreur humaine et un mauvais copier-coller ! first appeared on IT-Connect.
☐ ☆ ✇ IT-Connect

Patch Tuesday – Octobre 2021 : 81 vulnérabilités corrigées et 4 zero-day

Par : Florian Burnel

Microsoft a mis en ligne le Patch Tuesday d'Octobre 2021, avec au menu 81 failles de sécurité corrigées, ainsi que 4 zero-day. Si l'on exclue les vulnérabilités corrigées dans Microsoft Edge, le total tombe à 74 failles.

Sur ce total de 74 failles de sécurité corrigées, il y a 3 failles critiques, 70 failles importantes et 1 marquée comme étant faible. La majorité de ces failles sont de types élévation de privilèges (21) et exécution de code à distance (20).

Au niveau des produits et composants concernés par ce Patch Tuesday d'octobre 2021, nous retrouvons : .NET Core, Visual Studio, ADFS, HTTP.sys, Microsoft Intune, Microsoft Office (Excel, Visio, Word, SharePoint), le noyau Windows, la pile TPC/IP de Windows, etc...

Les trois failles critiques : Word et Hyper-V

Pour les trois failles critiques, il y en a une qui concerne Microsoft Word (CVE-2021-40486), aussi bien sur Office 2013, Office 2016 qu'Office 2019, et qui permet une exécution de code à distance.

Les deux autres concernent Hyper-V (CVE-2021-40461 et CVE-2021-38672) et permettent aussi une exécution de code à distance. Il est à noter que la faille CVE-2021-38672 touche uniquement Windows Server 2022 et Windows 11, tandis que la faille CVE-2021-40461 touche Windows 10 et Windows Server 2019, en plus de Windows 11 et Windows Server 2022.

Les quatre failles zero-day : win32k, kernel, Serveur DNS et Windows AppContainer

Parmi ces quatre failles zero-day, il y en a une qui est utilisée activement par les pirates : la CVE-2021-40449, de type élévation de privilèges, elle concerne le composant Win32k de Windows.

C'est Boris Larin, de chez Kaspersky, qui a découvert cette faille de sécurité, et d'après lui, elle serait utilisée pour mener des campagnes d'espionnage contre des entreprises d'informatique, mais aussi des entités diplomatiques. Kaspersky a nommé cette campagne d'attaques MysterSnail et l'a attribuée à IronHusky, un groupe de hackers chinois.

Concernant les trois autres failles zero-day :

Microsoft a également publié la première mise à jour cumulative pour Windows 11 et une nouvelle mise à jour cumulative pour Windows 10.

Source

The post Patch Tuesday – Octobre 2021 : 81 vulnérabilités corrigées et 4 zero-day first appeared on IT-Connect.
❌